IoanSz
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый вечер.
В общем в противовес предыдущему ответу вынужден сообщить, что:
Добрался до микротика и проверил, выяснилось, как и предполагал, что данное правило при небольшой модификации защищает проброшенный порт (в нашем случае 3389 RDP).
Привожу пример правил.
/ip firewall filter
add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=10d comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=10m comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=10m comment="" disabled=no
Получается что IP адрес подбирающего пароль попадает в список rdp_stage1 после первого соединения по протоколу RDP, в список rdp_stage2 после второго соединения (первое обрывается после 6 неверных вводов пароля), а вот уж после третьего соединения (т.е. еще 6 вводов) он уже банится. Итого получается что злоумышленник успевает набрать 12 паролей и отправляется в баню, в нашем случае на 10 суток.
Думаю что пользователю, имеющему доступ к серверу, ошибиться в наборе пароля 12 раз будет не просто, ну а если будут подобные эксцессы, ничто не мешает добавить еще пару шагов, в любом случае это нас избавит от 1 000 записей в логах сервера.
Как-то. Все же справедливо мнение что ру форумах, после того как задал вопрос, тебя обольют грязью (спасибо что тут такое не сделали) и в итоге отправят в поиск. |
